Обнаружение интерактивных служб, вирусный запуск

Sergey_5 · 11.07.2013, 04:15

Программное?
Сбой?
Помогите пжл!
Такое впервые у меня!
Загрузил систему, всё ок, подключил интернет, зашёл в мою почту, Mail.ru,
Высочило вот такое сообщение НЕ в браузере, а в системе, на рабочем столе) ,как на картинке, в процессе тоже ОНО есть…..файл отчёта прогой Process Explorer
Выложил

UI0Detect.exe
В журнале событий
Установщик Windows изменил настройку продукта. Продукт: Google updаtе Helper. Версия: 1.3.21.149. Язык: 1033. Изготовитель: Google Inc.. Изменение настройки завершено с состоянием: 1638.
Процесс УБИВАТЬ?
При нажатие о Просмотре сообщения, ЭКРАН делается чёрным и рабочий стол убирается, оставляя одно сообщение, нажатием отмена, возвращаюсь на рабочий стол.

Помогите что за Х?!
Гугл обновление гадкое затесалось?)

НО я ЕЁ НЕ включал!
UI0Detect Обнаружение интерактивных служб UI0Detect.exe 6.1.7600.16385 Собственный процесс Выполняется LocalSystem

Помогите….
Знаю, что это процесс W и удалять файл НЕЛЬЗя…НО ЧЕМ вызвана служба? Вирус?

После перезагрузки системы…процесс убрался….

safety · 11.07.2013, 06:59

Как создать образ автозапуска в uVS. Краткая инструкция

Sergey_5 · 11.07.2013, 17:42

Ок
вот сделал всё

safety · 12.07.2013, 06:49

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE

addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 8 Trojan.Siggen3.39984 [DrWeb]
zoo %SystemDrive%\PROGRAM FILES\JAVA\ADOBE ACROBAT UPDATE SERVICE.EXE
;delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
delall %SystemDrive%\PROGRAM FILES\JAVA\ADOBE ACROBAT UPDATE SERVICE.EXE
hide %SystemDrive%\USERS\КИРИЛЛ\DOWNLOADS\ПРОГРАММЫ\RSIT.EXE
delall %SystemDrive%\USERS\C523~1\APPDATA\LOCAL\TEMP\1SKKKK~1.EXE
chklst
delvir

deltmp
delnfr
; Java(TM) 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

Sergey_5 · 12.07.2013, 17:43

\VKSAVER\VKSAVER.EXE я не СОБИРАЮсь её удалять!

это прога для скачки музыки...мне не мешает)

delall %SystemDrive%\PROGRAM FILES\JAVA\ADOBE ACROBAT UPDATE SERVICE.EXE
насчёт этой не знаю)

hide %SystemDrive%\USERS\КИРИЛЛ\DOWNLOADS\ПРОГРАММЫ\RSI T.EXE
ЭТО Моя прога, для проверки компа,автозагрузки и всего-всего..оч полезная!

%SystemDrive%\USERS\C523~1\APPDATA\LOCAL\TEMP\1SKK KK~1.EXE
ЕГО я давно удалил)

safety · 12.07.2013, 21:59

1. закоментировал vksaver в скрипте

2.

Цитата:

Полное имя C:\PROGRAM FILES\JAVA\ADOBE ACROBAT UPDATE SERVICE.EXE
Имя файла ADOBE ACROBAT UPDATE SERVICE.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Статус ВИРУС
Сигнатура Trojan.Siggen3.39984 [DrWeb] [глубина совпадения 64(64), необх. минимум 8, максимум 64]

www.virustotal.com 2013-06-18 [2013-06-18 02:49:38 UTC ( 3 weeks, 3 days ago )]
DrWeb Trojan.Siggen3.39984

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
File_Id 4D8C95F610000
Linker 2.50
Размер 25088 байт
Создан 06.07.2013 в 16:24:49
Изменен 10.04.2013 в 11:05:41
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Файл ВОЗМОЖНО заражен вирусом из семейства Sality

Доп. информация на момент обновления списка
SHA1 C5DF2A6C04A9C7CE0419407BEF1B61E2CC3A3A17
MD5 E88D8933392E8BD7B650D316476E3D3C

3. rsit здесь не удаляется, а исключается из проверки.

4. остальное мусор в реестре, который нужно очистить.
------------
подправил скрипт для выполнения.

Sergey_5 · 12.07.2013, 22:55

Выполнил, как указано.
отправил почтой

safety · 13.07.2013, 08:53

лог малваребайт нужен здесь

Sergey_5 · 13.07.2013, 18:54

Ок, вот лог.

safety · 13.07.2013, 19:01

лог мбам чистый, сделайте еще проверку в АдвКлинере Как выполнить проверку в AdwCleaner?

12.07.2013, 06:49	#4 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 8 Trojan.Siggen3.39984 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\JAVA\ADOBE ACROBAT UPDATE SERVICE.EXE ;delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE ;delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL delall %SystemDrive%\PROGRAM FILES\JAVA\ADOBE ACROBAT UPDATE SERVICE.EXE hide %SystemDrive%\USERS\КИРИЛЛ\DOWNLOADS\ПРОГРАММЫ\RSIT.EXE delall %SystemDrive%\USERS\C523~1\APPDATA\LOCAL\TEMP\1SKKKK~1.EXE chklst delvir deltmp delnfr ; Java(TM) 6 Update 26 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet czoo restart перезагрузка, пишем о старых и новых проблемах. архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

11.07.2013, 04:15
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Подскажу вам, что на нашем форуме так же можно найти уже готовые темы, которые схожи с вашей Запуск двигателя Запуск ПК с клавиатуры

11.07.2013, 06:59	#2 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	Как создать образ автозапуска в uVS. Краткая инструкция

12.07.2013, 17:43	#5 (permalink)
Sergey_5 Member Регистрация: 12.04.2011 Сообщений: 61 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	\VKSAVER\VKSAVER.EXE я не СОБИРАЮсь её удалять! это прога для скачки музыки...мне не мешает) delall %SystemDrive%\PROGRAM FILES\JAVA\ADOBE ACROBAT UPDATE SERVICE.EXE насчёт этой не знаю) hide %SystemDrive%\USERS\КИРИЛЛ\DOWNLOADS\ПРОГРАММЫ\RSI T.EXE ЭТО Моя прога, для проверки компа,автозагрузки и всего-всего..оч полезная! %SystemDrive%\USERS\C523~1\APPDATA\LOCAL\TEMP\1SKK KK~1.EXE ЕГО я давно удалил)

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

12.07.2013, 22:55	#7 (permalink)
Sergey_5 Member Регистрация: 12.04.2011 Сообщений: 61 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Выполнил, как указано. отправил почтой

13.07.2013, 08:53	#8 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	лог малваребайт нужен здесь

13.07.2013, 19:01	#10 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	лог мбам чистый, сделайте еще проверку в АдвКлинере Как выполнить проверку в AdwCleaner?